Hola, ya eliminé los archivos que me dijisteis.
Tengo una pregunta, de la carpeta donde estaban esos archivos infectados, que fue creada por el virus, "C:\Documents and Settings\Compaq_Propietario\Datos de programa\m\shared" he eliminado la carpeta "shared", ¿puedo eliminar directamente la carpeta "m"?, no lo he hecho directamente por si esa no la ha creado el virus, aunque creo que sí (ya que creo que no es de windows y dicha carpeta está vacía.

Tras eliminar esos archivos pasé el ewido (dos veces, en la primera detectó una cookie y en la segunda no detectó nada), probé a instalar el avast y ya sí funciona (leí en internet que el virus hidr.exe desactiva la mayoría de antivirus y de programas anti-spyware y similares). Lo pasé y me recomendó hacerlo sin que arrancase el sistema y le hice caso. Encontró más archivos infectados que el kaspersky y los eliminó. Posteriormente pasé el kaspersky on-line y os pego el reporte a continuación.


REPORTE KASPERSKY:

KASPERSKY ONLINE SCANNER INFORME
miércoles, 03 de octubre de 2007 20:26:19
Sistema operativo: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 3/10/2007
Registros en la base antivirus: 426796
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Estadísticas:
Número de objeros analizados: 178409
Virus encontrados: 1
Objetos infectados: 1 / 0
Objetos sospechosos: 0
Duración del análisis: 02:02:16

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado
C:\Archivos de programa\Ansys Inc\Shared Files\Licensing\license.log Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Configuración local\Historial\History.IE5\MSHist0120071003200710 04\index.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \cert8.db Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \formhistory.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \history.dat Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \key3.db Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \parent.lock Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \search.sqlite Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Mozilla\Firefox\Profiles\yzv3effb.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\Datos de programa\Steganos\AntiSpyware 7\Logs\AntiSpyware7Log.txt Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Compaq_Propietario\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\hp\bin\KillWind.exe Infectados: not-a-virus:RiskTool.Win32.PsKill.p saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{72135246-D116-4BE8-92FC-1AFE1F338C80}\RP1\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\hsperfdata_SYSTEM\208 Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_550.dat Object is locked saltado
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
D:\System Volume Information\_restore{72135246-D116-4BE8-92FC-1AFE1F338C80}\RP1\change.log Object is locked saltado

Análisis completado.


El archivo "C:\hp\bin\KillWind.exe Infectados: not-a-virus: RiskTool. Win32.PsKill.p" dice que está infectado, aunque luego pone "not-a-virus", ¿¿qué hago con el ?? porque no sé si realmente es de hp (impresora) o es un virus o malware...

Hola _JB_

Muy bien el reporte esta limpio espero que los problemas se hayan solucionado.
Con respecto a "C:\hp\bin\KillWind.exe Infectados: not-a-virus: RiskTool. Win32.PsKill.p"

SI lo borras no ocasionara ningun daño a tu pc... eso ya queda a tu consideracion.

Nos comentas si los problemas estan solucionados para finalizar este tema



Andresmix

Tengo tres últimas preguntillas antes de dejar cerrado el tema.

1 - Con respecto a la pregunta que formulé antes: la carpeta donde estaban esos archivos infectados, que fue creada por el virus, "C:\Documents and Settings\Compaq_Propietario\Datos de programa\m\shared" he eliminado la carpeta "shared", ¿puedo eliminar directamente la carpeta "m"?, no lo he hecho directamente por si esa no la ha creado el virus, aunque creo que sí (ya que creo que no es de windows y dicha carpeta está vacía.

2 - El ordenador ya no hace cosas extrañas, me deja ejecutar los programas que antes no me dejaba (como los antivirus), ahora bien me sigue yendo lento, así que voy a desfragmentarlo (ya que, con tanto movimiento de archivos por copiar todo mi disco duro en DVD por si no solucionase el problema supongo que estará muy fragmentado). Si sigue yendo lento me recomendáis que le pase alguna aplicación (porque parece que ya está libre de virus).

3 - Otra consulta os quería hacer también, es con respecto a prevenir, no a desinfectar. He oído que el mejor antivirus es el kaspersky, pero que el avast es el mejor antivirus gratuito (que es el que tenía yo). Ahora bien, tenía un antiespías llamado Steganos antispyware, y ese no sé que tal es, así que estoy dispuesto a desinstalarlo e instalar otro que me recomendéis, para entre antivirus y antiespías que mi ordenador esté bastante protegido (porque nunca se puede decir protegido del todo, jeje). Así que me gustaría saber qué combinaciones me recomendáis que tenga en mi ordenador de antivirus y antiespías.

En el próximo comentario os informo si está del todo solucionado el problema tras desfragmentar el disco duro o hacer lo que me indiquéis.

Hasta luego

Hola _JB_

"C:\Documents and Settings\Compaq_Propietario\Datos de programa\m\shared" la carpeta m que te aparecia la puedes borrar tranquilamente... no te preocupes claro eso tambien queda a consideracion tuya pero no es nada de que preocuparse

Bueno descarga y ejecuta:

• Ccleaner + Manual

Usa el Ccleaner para limpiar el sistema,primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Tambien lee esto:

• Lée este enlace: Trucos para que Windows XP sea mas rápido
• Lee el siguiente enlace: FAQ: Eliminar lentitud en Windows

Lee esto antes de instalar cualquier antispyware gratuito
AntiSpywares sospechosos y no confiables (Actualizado 29 de Agosto 2007)

En este enlace podras encontrar:

• Programas Anti-Spyware Recomendados por Infospyware
  
• Antivirus Gratis recomendados por Infospyware

El kaspersky es un buen anrivirus pero la version de pago.

Espero que hayamos aclarado todas tus dudas...



Andresmix

He seguido los consejos que me habéis dicho, scandisk, defragmentador... He disminuído el número de archivos el escritorio que lo tenía casi llego debido a que he grabado en DVD mi disco duro por si perdía algunos archivos importantes. Me he bajado el spybot y lo he ejecutado, me ha detectado unas cuantas cosillas, os pego a continuación lo que me ha detectado antes de darle a solucionar problemas (pego solo los problemas encontrados).


REPORTE SPYBOT SD

--- Search result list ---
Spionfrei: [SBI $C017EF40] Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-1602266250-399280709-184144202-1007\Software\SpyBrowser


Spionfrei: [SBI $C79C221E] Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\No-Spy


Spionfrei: [SBI $13CB6160] Configuración (Clave del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser


Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\Start


Win32.Agent.bgy: [SBI $249FA162] Carpeta de programa (Carpeta, nothing done)
C:\WINDOWS\exefld\


Tradedoubler: [SBI $4CDCC3D5] Cookie de seguimiento (Firefox: default) (Cookie, nothing done)




Espero vuestra confirmación sobre qué hacer con estas entradas (si darle a reparar, o no, o qué hago...). Gracias de nuevo por vuestra ayuda.

Hola _JB_

Descarga The Avenger y lo guarads en el escritorio.

• Dale doble click a avenger.exe del escritorio para ejecutarlo.
• Debajo "Script file to execute" elige "Input Script Manually".
• Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
• Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.

• Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
• Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
• El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.

Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí

Salu2
Recuerda volver

Hola, tras realizar los pasos que me indicaste se reinició el equipo y me saltaban unos mensajes de no se encuentra el disco, le di a reintentar y no me dejaba, le di a continuar un par de veces y terminó el programa.

No se me generó el C/avenger/log.txt, pero te copio la ventanita que me saltó al terminar la aplicación, que he mirado y está ubicada en C/avenger/backup(comprimido)/avenger.txt

Espero que me contéis si hay algo más que deba hacer.

REPORTE AVENGER:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\mqbvaere

*******************

Script file located at: \??\C:\Documents and Settings\lqbylsnu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\WINDOWS\exefld deleted successfully.


Registry key HKEY_USERS\S-1-5-21-1602266250-399280709-184144202-1007\Software\SpyBrowser not found!
Deletion of registry key HKEY_USERS\S-1-5-21-1602266250-399280709-184144202-1007\Software\SpyBrowser failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\No-Spy deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Puedo volver a hacer lo mismo copiando esta vez solo:
"Registry keys to delete:
HKEY_USERS\S-1-5-21-1602266250-399280709-184144202-1007\Software\SpyBrowser" (sin comillas) porque en ese momento también me saltó el spybot y el steganos (a lo mejor es por eso...), porque he mirado en el editor de registro y sí aparece esa entrada (con dos archivos dentro"(predeterminado)" y "FirstStart".

Poco a poco vamos avanzando en la resolución del problema...De todas formas espero que me comentéis algo.

Acabo de ver que también contiene varias carpetas con diversos nombres, Antivirus, general, guard options, monitors, etc...

Hola _JB_

Elimina:

• The Avenger
• El archivo C:\avenger.txt

Mira, hace esto por favor:

• Descarga RegSeeker
  • Ejecuta RegSeeker
  • Antes de la limpieza asegurate marcar la casilla que aparece en la parte inferior izquierda; «Backup antes de suprimir».
  • Luego en la parte derecha arriba esta la opción Languages, elige español.
  • Después te vas a Limpiar el registro (Debes tener marcadas todas las casillas).
  • Dale al botón OK!
  • Cuando termine, dale clic Seleccionar todo.
  • Presionar con el botón derecho sobre una entrada, dale a la opción «Borrar las entradas seleccionadas».
  • Hace este procedimiento hasta que la herramienta no muestre nada

• Escanea el sistema con Ewido Scanner Online.
  • Cuando estes en la ventana de Scan Options.
  • Desmarca y solamente deja al opción "Registry".
  • Y haces clic en Star Scan.
  • Cuando termine dale al botón Remove Infections
  • En el caso que el Ewido no logre eliminar algún sub-clave del registro nociva nos pegas el reporte.

salu2
Recuerda volver

Hola de nuevo, he pasado el RegSeeker con todo activado (salvo la opción que pone experimental, por si las moscas), y ha encontrado muchas cosas, las he limpiado y encuentra una, le doy a borrar y vuelvo a darle a limpiar registro y la vuelve a encontrar una y otra vez, lo que encuentra es:

HKEY_LOCAL MACHINE
SOFTWARE/Macrovision Corp.
Entrada obsoleta

Por otro lado te comento que la entrada "HKEY_USERS\S-1-5-21-1602266250-399280709-184144202-1007\Software\SpyBrowser" no la ha eliminado porque la busco manualmente y sigue apareciendo.

Espero sus opiniones.

Hasta ahora